J'ai deux répertoires actifs ad1 et ad2 qui se font confiance. Ad1 comporte des groupes qui contiennent à la fois des utilisateurs d'ad1 et d'ad2. En utilisant un domaine Tomcat d'un serveur Linux, je peux authentifier les utilisateurs d'ad1 avec ses groupes par l'ad1 via LDAP.
Je souhaite également authentifier les utilisateurs d'ad2 à l'aide du serveur LDAP d'ad1. Par conséquent, j'ai ajouté un compte d'ordinateur du serveur avec le Tomcat sur ad1. Est-ce possible en utilisant les domaines Tomcat et LDAP ou n'est-il possible que dans le logiciel Microsoft ? J'ai essayé des noms de connexion comme "ad2\john.doe" et "john.doe@ad2" ("ad2" est le nom DNS accessible) sans succès.
Si non, je dois créer les groupes sur ad2 et utiliser un autre domaine...
Solution du problème
• Je vous suggère de configurer la relation d'approbation Active Directory entre les deux domaines AD de sorte que les utilisateurs des deux domaines AD puissent se connecter aux domaines AD de l'autre et vice versa. Pour ce faire, veuillez vérifier le fichier 'login.properties' pour définir des domaines distincts pour chaque domaine. L'exemple suivant de la configuration du fichier 'login.properties' pour la relation d'approbation entre les deux domaines AD est illustré ci-dessous pour votre référence: -
Global settings
clientcreds = true
realms = internal, parent
ldap.prof.useprimarygroup = false
# Realm settings
# Update match pattern to allow other AD domain components
addomainname.ldap.prof.idmatch = (?i)(.*)@(?:.*\\.)?${realm:.*}
parent.realm = EXAMPLE.COM
parent.auth = ldap
parent.auth.bindmethod = simple
parent.auth.binddn = search: dn
parent.ldap.security = tls
parent.ldap.profile = adsldap
parent.ldap.prof.defaultusergroup = edqusers
parent.ldap.referral = follow '
L'exemple ci-dessus est une version modifiée de la relation de domaine parent et enfant donnée dans le lien ci-dessous : -
https://docs.oracle.com/middleware/1213/edq/DQSEC/ldap.htm#DQSEC143
Essayez également la chose ci-dessus sur les deux domaines AD et vérifiez si cela vous aide ou non. Si ce n'est pas le cas, vous devrez créer des groupes sur les deux domaines AD d'Apache tomcat et vous authentifier en conséquence. De plus, je vous suggère de consulter le lien ci-dessous pour plus d'informations : -
https://tomcat.apache.org/tomcat-7.0-doc/windows-auth-howto.html
Aucun commentaire:
Enregistrer un commentaire